https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html Господа, ищу общее решение для "безотказного" почтового сервера (принципиальное).<br><br>Есть 2 канала в Интернет, две различных белые подсети от двух провайдеров.<br>Внутри сети почтовый сервер за NAT, с именем mail.domain.tld и серым адресом. <br>Есть 2 МХ записи типа (в общем виде, естественно) <br>domain.tld 5 IP1 (provider1) mail.domain.tld<br>domain.tld 10 IP2 (provider2) mail1.domain.tld<br>и, естественно, соответствующие прямые A и реверсные ДНС записи у провайдеров.<br><br>Шлюз автоматически переходит с основного провайдера на резервного при падении основного и при восстановлении связи возвращается на основной. Возможно, появится и третий провайдер с третьим адресом. AS в ближайшие годы не будет.<br><br>При переходе между провайдерами я вынужден переписывать hostname почтового сервера с mail на mail1, дабы HELO/EHLO проходило корректно. В перспективе (включение TLS) придется еще и менять сертификаты. <br><br>Может быть, кто-нибудь подскажет более элегантную схему организации безотказного почтовика? Буду благод https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#45 Tue, 11 Mar 2014 19:51:04 GMT &gt;&gt; Или есть серьезные минусы у данной конструкции?<br>&gt; Есть. Минус в том что она ... не нужна.<br>&gt; Читай про веса MX records. Это два.<br>&gt; А потом до тебя дойдёт что проблема не в входящих ... и <br>&gt; это раз. :) <br><br>Я, может, не так выразил суть проблемы. Отказоустойчивость - это не только когда входящая почта не потеряется. Это решается, в самом деле, весом mx и почтовиками у разных провов, например. Отказоустойчивость - это, для меня, когда если в вашей серверной выбило питание, ваш сервер для клиентов продолжает отзываться на том же имени domain.tld. Когда для сервере входящей почты внутренних клиентов не надо вбивать в почтовые программы IMAP backup.domain.tld. Я вот о чем... Типа, как диск в рейде - сбойный, а всем незаметно.<br> https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#44 Tue, 11 Mar 2014 16:33:42 GMT &gt; Или есть серьезные минусы у данной конструкции?<br><br>Есть. Минус в том что она ... не нужна.<br><br>Читай про веса MX records. Это два.<br>А потом до тебя дойдёт что проблема не в входящих ... и это раз. :)<br> https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#43 Tue, 11 Mar 2014 11:22:48 GMT А можно считать отказоустойчивой схему:<br><br>domain.tld -&gt; IP_0 -&gt; вирт. машина в облачном хостинге типа selectel или linode. Функция: роутер.<br><br>На этой машине iptables перенаправляет запросы на 25, 110, 995 и другие порты, в зависимости от того, какой из ваших серверов online или других факторов.<br><br>Т.е. это не почтовик, а роутер. А почтовиков два, на линии провайдера1 первый, второй - на втором провайдере, или как вы желаете.<br><br>Соотв., все клиенты (ваши внутренние получатели, внешние отправители) изначально попадают на IP_0, а потом просто разруливаются. Вам удобно (вам - управлять куда идет почта, внешним клиентам никогда не меняется адрес вашего почтовика).<br><br>Из минусов - трафик через selectel или linode (в данном примере) идет. Если IP_0 недоступен, все ждут...<br><br>Но ведь можно один на linode, другой - на selectel, а роутить на один из ваших "внутренних" серверов. Тогда еще надежнее будет!<br><br>Или есть серьезные минусы у данной конструкции?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#42 Wed, 25 Dec 2013 06:52:34 GMT &gt;&gt; Даже если не пойдёт - всё равно отпишитесь почему не пошло.<br>&gt; Обязательно, тема-то достаточно веселая, и, думаю, актуальная. Еще раз спасибо за идею. <br><br>Удалось попробовать данную схему? Каковы результаты?<br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#41 Tue, 10 Dec 2013 11:09:37 GMT &gt; мдаа, ну что тут скажешь :) <br><br>просто перестань кормить тролля!<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#40 Tue, 10 Dec 2013 07:40:55 GMT &gt; И как быстро остановить получается? При серверной 8м2 с тепловыделением 5-6 кВт <br>&gt; и отказе кондиционера температура взлетает до ташкента за 15-20 минут максимум. <br>&gt; И не факт, что канальное оборудование от провайдера не упадет раньше <br>&gt; серверов. А проснуться от SMS в 3 часа утра быстрее, чем <br>&gt; за 20 минут у меня, как правило, не выходит - старость <br>&gt; не радость.<br>&gt; Но райд резервированный по-любому, там файлопомойка, резервный по данным от него отстает <br>&gt; на 15-30 минут, только сам помедленнее несколько. Вот если оба в <br>&gt; двух разных серверных улетят - тогда точно беда.<br><br>у меня было всего один раз, серверная 2x3м полный пипец без кондера там наступает за час. Вырубание 5ти из 6ти серверов, оставил только роутер, очень даже помогло ;)<br><br>&gt; А что за винты такие? Неперегретые и сыплются в первые 2-3 месяца? <br>&gt; И было менее месяца тестирования вне серверной до продакшена? За последних <br>&gt; 5 лет я таких точно не встречал, хотя при тестировании кое-что <br>&gt; и падало. Хотя Сигейтами SAS/SATA не пользуюс https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#39 Tue, 10 Dec 2013 05:27:47 GMT <br><br>&gt; это дает мне возможность зайти удаленно и остановить сервер, не доводя его <br>&gt; до развала рейда, сжигание матери и т.п. ;) Или у вас <br>&gt; простой 10-16 часов, пока будет восстанавливаться рейд на 10-15 Тб, считается <br>&gt; нормальным?<br><br>И как быстро остановить получается? При серверной 8м2 с тепловыделением 5-6 кВт и отказе кондиционера температура взлетает до ташкента за 15-20 минут максимум. И не факт, что канальное оборудование от провайдера не упадет раньше серверов. А проснуться от SMS в 3 часа утра быстрее, чем за 20 минут у меня, как правило, не выходит - старость не радость.<br>Но райд резервированный по-любому, там файлопомойка, резервный по данным от него отстает на 15-30 минут, только сам помедленнее несколько. Вот если оба в двух разных серверных улетят - тогда точно беда.<br><br>&gt;&gt; Диски в райдах меняются превентивно, через 2-3 года эксплуатации, не дожидаясь выхода <br>&gt;&gt; по смарту, и закупаются партиями по 10 при потребности 8.<br>&gt; и зря, имхо. Сколько раз видел, что винт с 10k часов намного <br>&gt; наде https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#38 Mon, 09 Dec 2013 23:13:24 GMT <br>&gt;[оверквотинг удален]<br>&gt; Промотаю документацию чуть вверх и сцитирую, специально для читающих по-диагонали: <br>&gt; reject_unknown_helo_hostname (with Postfix &lt; 2.3: reject_unknown_hostname) <br>&gt; Reject the request when the HELO or EHLO hostname has no DNS <br>&gt; A or MX record.<br>&gt; The unknown_hostname_reject_code parameter specifies the numerical response code for <br>&gt; rejected requests (default: 450).<br>&gt; The unknown_helo_hostname_tempfail_action parameter specifies the action after a temporary <br>&gt; DNS error (default: defer_if_permit).<br>&gt; Нет ни одного слова про то, что оно обязано совпадать с client <br>&gt; hostname, реверсом, и т п.<br><br>Однако, ошибки доставки вида<br>server refused to talk to me: 550 Reverse DNS lookup failed for host ip.ad.dre.ss (port 25)<br>если HELO/EHLO не совпадает с reverse DNS query, к сожалению, реальность.<br><br>В то же время RFC1123 гласит:<br>5.2.5 HELO Command: RFC-821 Section 3.5<br><br> The sender-SMTP MUST ensure that the &lt;domain&gt; parameter in a<br> HELO command is a valid principa https://ssl.opennet.dev/openforum/vsluhforumID1/95259.html#37 Mon, 09 Dec 2013 22:21:59 GMT &gt; Опять передержки. Можно обновлять софт и т.д. в дни простоя, которых 5-10 <br>&gt; в год (год на год не приходится). Компания торгово-производственная, а не <br>&gt; провайдер.<br><br>ну тут вам виднее, у нас простой 15-30 минут это уже абзац полный (не провайдер)<br><br>&gt; Блиин, вот круто! Предупреждение у Вас само останавливает сервер? Или кондиционер в <br>&gt; чужой серверной ремонтирует и включает? Или Вас телепортирует на 120 км <br>&gt; до места происшествия, попутно дезавуируя охрану здания в выходной? Бога ради, <br>&gt; не пересказывайте общие места. Zabbix у меня, но результат не сильно <br>&gt; отличается...<br><br>это дает мне возможность зайти удаленно и остановить сервер, не доводя его до развала рейда, сжигание матери и т.п. ;) Или у вас простой 10-16 часов, пока будет восстанавливаться рейд на 10-15 Тб, считается нормальным?<br><br>&gt; Диски в райдах меняются превентивно, через 2-3 года эксплуатации, не дожидаясь выхода <br>&gt; по смарту, и закупаются партиями по 10 при потребности 8. <br><br>и зря, имхо. Сколько раз видел, что винт с 10k часов нам